根據(jù)****病毒后綴初步分析該病毒屬于Sodinokibi家族

Sodinokibi****病毒，又被稱作a.k.a Revil和“小藍(lán)屏”，該****病毒于2019年4月底首次出現(xiàn)，從2019年4月份到2021年1月份目前所發(fā)現(xiàn)的主要有以下幾個渠道：

• Web漏洞，曾利用 Oracle WebLogic漏洞中編號為CVE-2019-2725的漏洞。
• 帶有鏈接或附件的惡意垃圾郵件或網(wǎng)絡(luò)釣魚活動。
• 使用RIG 漏洞利用工具包傳播。
• 通過****破解獲取到遠(yuǎn)程桌面的密碼后手動投毒。并由被攻陷機(jī)器作為跳板攻擊內(nèi)網(wǎng)其它機(jī)器。

Sodinokibi****病毒屬于全球規(guī)模較大的****家族，暫時沒有公開的解密工具，請大家提高****意識，注意防范！介于此給出如下修復(fù)方案

.6nxq0修復(fù)方案：

關(guān)于.6nxq0****病毒，我公司深入分析后發(fā)現(xiàn)，目前只能處理數(shù)據(jù)庫類文件。通過對加密文件cwbase0001.mdf文件分析，發(fā)現(xiàn)數(shù)據(jù)庫前部分頁面被惡意篡改加密。目前我們針對被加密的數(shù)據(jù)庫已經(jīng)掌握成熟的處理方案�？山鉀Q沒有被完整加密的數(shù)據(jù)庫文件。

通過對本次案例（.6nxq0病毒）分析，根據(jù)數(shù)據(jù)庫底層頁面加密情況以及客戶可提供歷史好的備份文件，大大挺高了數(shù)據(jù)的可恢復(fù)性。修復(fù)數(shù)據(jù)完整度可達(dá)到99%，由于數(shù)據(jù)庫文件較大，里面內(nèi)容大概有9000多張表，需要對數(shù)據(jù)進(jìn)行整合，修復(fù)時間2天左右。修復(fù)后驗(yàn)證數(shù)據(jù)無誤。

關(guān)于此次****病毒以及近幾年****病毒比較猖狂跟比特幣的價格攀升有直接關(guān)系，目前一個比特幣價格32W之多。對于高昂的贖金，建議還是定期多做數(shù)據(jù)備份，不同存儲介質(zhì)進(jìn)行備份。

防護(hù)建議：
1.        多臺機(jī)器，不要使用相同的賬號和口令
2.        登錄口令要有足夠的長度和復(fù)雜性，并定期更換登錄口令
3.        重要資料的共享文件夾應(yīng)設(shè)置訪問權(quán)限控制，并進(jìn)行定期備份
4.        定期檢測系統(tǒng)和軟件中的****漏洞，及時打上補(bǔ)丁。
5.        定期到服務(wù)器檢查是否存在異常。查看范圍包括：
a)        是否有新增賬戶
b)        Guest是否被啟用
c)        Windows系統(tǒng)日志是否存在異常
d)        殺毒軟件是否存在異常攔截情況
6.        安裝****防護(hù)軟件，并確保其正常運(yùn)行。
7.        從正規(guī)渠道下載安裝軟件。
8.        對不熟悉的軟件，如果已經(jīng)被殺毒軟件攔截查殺，不要添加信任繼續(xù)運(yùn)行。